المرحلة 2 من أستكشاف أخطاء مسار بيانات Firepower وإصلاحها: طبقة DAQ
المحتويات
المقدمة
هذه المقالة هي جزء من سلسلة مقالات توضح كيفية أستكشاف مسار البيانات في أنظمة FirePOWER وإصلاحها بشكل منهجي لتحديد ما إذا كانت مكونات FirePOWER قد تؤثر على حركة المرور. يرجى الرجوع إلى مقالة "نظرة عامة" للحصول على معلومات حول بنية الأنظمة الأساسية FirePOWER وارتباطاتها بمقالات "أستكشاف أخطاء مسارات البيانات وإصلاحها" الأخرى.
في هذه المقالة، سننظر إلى المرحلة الثانية من أستكشاف أخطاء مسار بيانات Firepower وإصلاحها: طبقة DAQ (محاكم حماية البيانات).
دليل المنصات
يصف الجدول التالي المنصات التي تغطيها هذه المقالة.
| اسم رمز النظام الأساسي | الوصف | قابل للتطبيق الأجهزة الأنظمة الأساسية | ملاحظات |
| SFR | ASA مع تثبيت وحدة FirePOWER Services (SFR) النمطية. | سلسلة ASA-5500-X | غير متوفر |
| FTD (الكل) | ينطبق على جميع منصات الدفاع ضد تهديد الطاقة النارية (FTD) | الفئة ASA-5500-X، الأنظمة الأساسية الظاهرية لبطاقة رسومات الشبكة (NGFW)، FPR-2100، FPR-9300، FPR-4100 | غير متوفر |
| FTD (بخلاف SSP و FPR-2100) | صورة FTD مثبتة على ASA أو نظام أساسي ظاهري | سلسلة ASA-5500-X، أنظمة NGFW الظاهرية، FPR-2100 | غير متوفر |
| FTD (SSP) | تم تثبيت برنامج الإرسال فائق السرعة (FTD) كجهاز منطقي على هيكل قائم على نظام التشغيل القابل للتشغيل (FXOS) Firepower | FPR-9300 و FPR-4100 | لا تستخدم السلسلة 2100 برنامج FXOS Chassis Manager |
أستكشاف أخطاء مرحلة DAQ الخاصة ب FirePOWER وإصلاحها
ان طبقة DAQ (محكمة تأديب البيانات) هي مكون من قوة النار التي تترجم الحزم إلى شكل يمكن ان يفهمه الشخير. وهو يعالج الحزمة في البداية عندما ترسل إلى الشخير. لذلك، إذا كانت الحزم تدخل ولكن لا تخرج جهاز FirePOWER أو أن أستكشاف أخطاء مدخل الحزمة وإصلاحها لم ينتج عنها نتائج مفيدة، فيمكن أن يكون أستكشاف أخطاء DAQ وإصلاحها مفيدا.
التقاط حركة المرور في طبقة DAQ
للحصول على موجه الأمر الذي يتم تشغيل الالتقاط منه، يجب عليك أولا الاتصال باستخدام SSH ب SFR أو عنوان IP الخاص ب FTD.
يشرح هذا المقال كيفية تجميع تجميع تجميع الحزم على مستوى DAQ ل FirePOWER.
لاحظ كيف أن الصياغة ليست نفس الأمر capture المستخدم على ASA وكذلك جانب LINA من منصة FTD. وفيما يلي مثال على تشغيل التقاط حزمة DAQ من جهاز FTD:
كما هو موضح في لقطة الشاشة أعلاه، تم كتابة التقاط بتنسيق PCAP يسمى ct.pcap إلى /ngfw/var/الدليل المشترك (/var/common على منصة SFR). يمكن نسخ ملفات الالتقاط هذه من جهاز FirePOWER من نافذة مطالبة > باستخدام الاتجاهات الواردة في المقالة المذكورة أعلاه.
بدلا من ذلك، في مركز إدارة Firepower (FMC) في الإصدار 6.2.0 من FirePOWER والإصدارات الأحدث، يمكنك التنقل إلى الأجهزة > إدارة الأجهزة. ثم انقر فوق 
الرمز الموجود بجوار الجهاز المعني، يتبعه أستكشاف الأخطاء وإصلاحها المتقدم > تنزيل الملف.
يمكنك بعد ذلك إدخال اسم ملف الالتقاط وانقر تنزيل.
كيفية تجاوز قوة النيران
إذا كانت FirePOWER ترى حركة المرور، ولكن تم تحديد أن الحزم لا تعرض الجهاز أو أن هناك مشكلة أخرى مع حركة المرور، فإن الخطوة التالية ستكون تجاوز مرحلة فحص FirePOWER لتأكيد أن أحد مكونات FirePOWER يسقط حركة المرور. وفيما يلي تفصيل لأسرع طريقة لجعل حركة المرور تتجاوز قوة النيران على مختلف المنصات.
SFR - وضع الوحدة النمطية FirePOWER في وضع المراقبة فقط
على ال ASA الذي يستضيف SFR، أنت يستطيع وضعت ال SFR وحدة نمطية في مدرب-only أسلوب عن طريق ال ASA أمر خط قارن (CLI) أو ال cisco أداة مدير (ASDM) معدل. وهذا يتسبب فقط في إرسال نسخة من الحزم المباشرة إلى الوحدة النمطية SFR.
من أجل وضع وحدة SFR في وضع جهاز العرض فقط عبر واجهة سطر الأوامر (CLI) الخاصة ب ASA، يجب أولا تحديد خريطة الفئة وخريطة السياسة المستخدمة لإعادة توجيه SFR من خلال تشغيل الأمر show service-policy sfr.
# show service-policy sfr
Global policy:
Service-policy: global_policy
Class-map: sfr
SFR: card status Up, mode fail-open
packet input 10000, packet output 9900, drop 100, reset-drop 0
يوضح الإخراج أن خريطة policy global_policy تقوم بفرض إجراء فتح فشل SFR على خريطة فئة "sfr".
in order to وضعت ال SFR وحدة نمطية داخل مدرب-only أسلوب، أنت يستطيع أصدرت هذا أمر أن يبطل الحالي SFR تشكيل وأدخل ال مدرب-only تشكيل:
# configure terminal
(config)# policy-map global_policy
(config-pmap)# class sfr
(config-pmap-c)# no sfr fail-open
(config-pmap-c)# sfr fail-open monitor-only
INFO: The monitor-only mode prevents SFR from denying or altering traffic.
(config-pmap-c)# write memory
Building configuration...
بمجرد وضع الوحدة النمطية في وضع المراقبة فقط، يمكن التحقق منها في إخراج show service-policy sfr.
# sh service-policy sfr
Global policy:
Service-policy: global_policy
Class-map: sfr
SFR: card status Up, mode fail-open monitor-only
packet input 0, packet output 100, drop 0, reset-drop 0
بدلا من ذلك، يمكنك وضع الوحدة النمطية في جهاز العرض فقط عبر ASDM بالتنقل إلى > > . ثم انقر فوق القاعدة المعنية. بعد ذلك، انتقل إلى صفحة إجراءات القواعد وانقر فوق علامة التبويب ASA FirePOWER Inspection. وبمجرد الوصول، يمكن تحديد جهاز العرض فقط.
إن يبقى الحركة مرور إصدار حتى بعد أن ال SFR نمطية يتلقى يكون في مدرب فقط أسلوب، ال firepower وحدة نمطية لا يسبب المشكلة. بعد ذلك، يمكن تشغيل تعقب الحزمة لمزيد من تشخيص المشكلات على مستوى ASA.
إذا لم تعد المشكلة قائمة، فإن الخطوة التالية ستكون أستكشاف أخطاء مكونات برنامج FirePOWER وإصلاحها.
FTD (الكل) - وضع مجموعات في السطر في وضع TAP
إذا كانت حركة المرور تمر عبر أزواج الواجهة التي تم تكوينها في مجموعات الأسطر، يمكن وضع المجموعة المضمنة في وضع TAP. وهذا يؤدي بشكل أساسي إلى عدم إتخاذ FirePOWER إجراء على الحزمة المباشرة. لا يطبق على مسحاج تخديد أو أسلوب شفاف دون مسحاج تخديد داخلي بما أن الأداة ينبغي عدلت الربط قبل أن يرسلهم إلى الخطوة تالي ولا يستطيع كنت وضعت في مجرى جانبي أسلوب دون يسقط حركة مرور. بالنسبة للوضع الموجه والشفاف بدون مجموعات الأسطر، قم بالمتابعة مع خطوة متتبع الحزمة.
لتكوين وضع TAP من واجهة مستخدم FMC (UI)، انتقل إلى الأجهزة > إدارة الأجهزة، ثم قم بتحرير الجهاز المعني. تحت علامة التبويب مجموعات في السطر، قم بإيقاف تشغيل الخيار لوضع الضغط.
إذا قام وضع TAP بحل المشكلة، فإن الخطوة التالية ستكون أستكشاف أخطاء مكونات برنامج FirePOWER وإصلاحها.
إذا لم يحل وضع TAP المشكلة، فسيكون الإصدار خارج برنامج FirePOWER. ربط tracer بعد ذلك يستطيع كنت استعملت أن يزيد من تشخيص الإصدار.
إستخدام أداة تتبع الحزم لاستكشاف أخطاء حركة المرور التي تم محاكاتها وإصلاحها
Packet Tracer هي أداة مساعدة يمكن أن تساعد في تحديد موقع إسقاط الحزمة. إنها محاكي، وبالتالي فإنها تقوم بتتبع حزمة اصطناعية.
SFR - تشغيل تتبع الحزم على ASA CLI
هنا مثال على كيفية تشغيل متتبع الحزم على ASA CLI لحركة مرور SSH. لمزيد من المعلومات التفصيلية حول صياغة أمر تعقب الحزمة، يرجى الرجوع إلى هذا القسم في دليل مرجع أوامر سلسلة ASA.
في المثال أعلاه، نرى على حد سواء وحدة ASA و SFR التي تسمح بالحزم بالإضافة إلى معلومات مفيدة حول كيفية معالجة ASA لتدفق الحزمة.
FTD (all) - تشغيل أداة تعقب الحزم على واجهة سطر الأوامر (CLI) في FTD
على جميع الأنظمة الأساسية ل FTD، يمكن تشغيل الأمر packet tracer من واجهة سطر الأوامر (CLI) الخاصة ب FTD.
في هذا مثال، ربط tracer لا يبدي السبب للسقوط. في هذه الحالة، هي القائمة السوداء IP ضمن ميزة "معلومات الأمان" في FirePOWER التي تمنع الحزمة. تتمثل الخطوة التالية في أستكشاف أخطاء مكون برنامج FirePOWER الفردي الذي يتسبب في الإسقاط وإصلاحها.
إستخدام Capture مع Trace لاستكشاف أخطاء حركة المرور المباشرة وإصلاحها
كما يمكن تعقب حركة المرور المباشرة عبر ميزة الالتقاط مع ميزة التتبع، والتي تتوفر على جميع الأنظمة الأساسية عبر واجهة سطر الأوامر (CLI). أدناه مثال على تشغيل التقاط مع تتبع مقابل حركة مرور SSH.
في هذا المثال، تم تتبع الحزمة الرابعة في الالتقاط، نظرا لأن هذه هي الحزمة الأولى مع بيانات التطبيق المعرفة. كما هو موضح، فإن الحزمة تنتهي إلى البياض من طرف الشخير، مما يعني أنه ليس من الضروري فحص الشخير مرة أخرى للتدفق، ويسمح بشكل عام.
لمزيد من المعلومات حول الالتقاط بصيغة التتبع، يرجى الرجوع إلى هذا القسم في دليل مرجع أوامر سلسلة ASA.
FTD (الكل) - تشغيل الالتقاط باستخدام تتبع على واجهة المستخدم الرسومية (GUI) ل FMC
على أنظمة FTD الأساسية، يمكن تشغيل الالتقاط بالتتبع على واجهة مستخدم FMC. للوصول إلى الأداة المساعدة، انتقل إلى الأجهزة > إدارة الأجهزة.
ثم انقر فوق 
الرمز الموجود بجوار الجهاز المعني، يتبعه أستكشاف الأخطاء وإصلاحها المتقدم > التقاط و/تتبع.
أدناه مثال على كيفية تشغيل التقاط باستخدام تتبع عبر واجهة المستخدم الرسومية.
إذا أظهر الالتقاط مع التتبع سبب إسقاط الحزمة، فإن الخطوة التالية ستكون أستكشاف أخطاء مكونات البرامج الفردية وإصلاحها.
إن لا يظهر هو واضح السبب من الإصدار، الخطوة تالي يكون أن يسرع حركة مرور.
إنشاء قاعدة مسار سريع ل PreFilter في FTD
على جميع منصات FTD، هناك سياسة ما قبل التصفية، والتي يمكن إستخدامها لتحويل حركة المرور من تفتيش FirePOWER (snort).
في FMC، يوجد ذلك ضمن السياسات > التحكم في الوصول > Prefilter. لا يمكن تحرير نهج التصفية المسبقة الافتراضي، لذا سيلزم إنشاء نهج مخصص.
بعد ذلك، يجب إقران نهج PreFilter الذي تم إنشاؤه حديثا بنهج التحكم في الوصول. يتم تكوين هذا ضمن علامة التبويب "خيارات متقدمة" الخاصة بنهج التحكم بالوصول في قسم إعدادات نهج عامل التصفية المسبق.
فيما يلي مثال على كيفية إنشاء قاعدة FastPath داخل نهج PreFilter والتحقق من عدد مرات الوصول.
انقر هنا للحصول على مزيد من التفاصيل حول تشغيل نهج التصفية المسبقة وتكوينها.
إذا أدت إضافة نهج PreFilter إلى حل مشكلة حركة مرور البيانات، يمكن ترك القاعدة في مكانها إذا كان ذلك مطلوبا. ومع ذلك، لم يتم إجراء أي فحص آخر لذلك التدفق. يلزم إجراء المزيد من أستكشاف أخطاء برنامج FirePOWER وإصلاحها.
إذا لم تحل إضافة نهج عامل التصفية المسبق المشكلة، يمكن تشغيل الحزمة ذات خطوة التتبع مرة أخرى لتتبع المسار الجديد للحزمة.
البيانات التي سيتم تقديمها إلى TAC
| البيانات | تعليمات |
| مخرجات القيادة | طالع هذه المقالة للحصول على تعليمات |
| التقاط الحزم | بالنسبة إلى ASA/LINA: https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/118097-configure-asa-00.html بالنسبة إلى Firepower: http://www.cisco.com/c/en/us/support/docs/security/sourcefire-firepower-8000-series-appliances/117778-technote-sourcefire-00.html |
| خرج ASA "show tech" | قم بتسجيل الدخول إلى ASA CLI وتمتع بحفظ جلسة عمل المحطة الطرفية في سجل. دخلت العرض أمر فني وبعد ذلك زودت المحطة الطرفية جلسة إنتاج مبرد إلى TAC. يمكن حفظ هذا الملف على القرص أو نظام تخزين خارجي باستخدام هذا الأمر. show tech | إعادة توجيه القرص0:/show_tech.log |
| أستكشاف أخطاء الملف وإصلاحها من جهاز FirePOWER الذي يقوم بفحص حركة المرور | http://www.cisco.com/c/en/us/support/docs/security/sourcefire-defense-center/117663-technote-SourceFire-00.html |
الخطوة التالية
وإذا ما تبين أن أحد مكونات برنامج الطاقة النارية هو السبب وراء هذه القضية، فإن الخطوة التالية سوف تتلخص في إستبعاد كل عنصر بشكل منهجي، بدءا باستخبارات الأمن.
انقر هنا لمتابعة الدليل التالي.
التعليقات